Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.

Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.

Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.

Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Organisaation tulisi ylläpitää luetteloa tiloista, jotka vaativat fyysistä suojausta, kuten palvelinhuoneista tai alueista, joissa on kriittisiä tietotekniikkalaitteita. Lisäksi organisaation olisi nimettävä ja dokumentoitava henkilöt, jotka vastaavat näiden nimettyjen tilojen fyysisten turvatoimien toteuttamisesta ja valvonnasta. Näiden asiakirjojen on oltava valtuutetun henkilön virallisesti hyväksymiä.

Fyysisen turvallisuuden menettelyt on kehitetty ja otettu käyttöön, ja henkilökunta on koulutettu niihin. Menettelyjä tarkistetaan säännöllisesti sen varmistamiseksi, että ohjeet ja ohjeistukset ovat ajan tasalla ja riittävän kattavat.

The organization must develop, document, and implement procedures for logical and physical access control. These must take into account:

• Access to all assets, supporting functions and locations are managed on need-to-know, need-to-use and least privileges basis. Including remote and emergency access.
• User accountability, users actions must be identifiable
• Authentication methods must commensurate with the classification and overall risk profile of the assets. They must be strong methods that are based on leading practices. They must apply to all forms of access (remote, privileged, access to assets, etc.)

Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.